豆 濤

隨著云計算的興起和普及，人們在享受云計算強大功能帶來方便的同時，也在受到云計算所帶來的諸多問題的困擾。由于現(xiàn)有的機制、法律法規(guī)不太完善，網(wǎng)民身份信息安全在云計算環(huán)境下也出現(xiàn)了新的問題，急需尋找相應(yīng)的對策。

一、云計算環(huán)境下網(wǎng)民身份信息的安全問題

在云計算環(huán)境下，網(wǎng)民通過使用云服務(wù)，其個人身份信息不會再像傳統(tǒng)的使用互聯(lián)網(wǎng)服務(wù)時被存儲在服務(wù)提供者的服務(wù)器或者網(wǎng)民自身的電腦里面，而是高度集中于云端，這就更加容易導(dǎo)致安全問題。

（一）被特權(quán)用戶訪問

從表面上看，云計算好像是安全的，但如果仔細(xì)分析，“云”對外部來講其實是不透明的。終端用戶對云計算服務(wù)的具體運行模式、提供商的具體地址、員工情況等都知之甚少。網(wǎng)民在進(jìn)行網(wǎng)絡(luò)活動過程中，會根據(jù)互聯(lián)網(wǎng)服務(wù)提供者的要求填寫個人身份信息，而這些互聯(lián)網(wǎng)服務(wù)提供者又將網(wǎng)民身份信息存于云端。雖然一般用戶很難訪問，但是在沒有具體法律進(jìn)行規(guī)范的情況下，誰能保證云計算服務(wù)提供商或者政府不會借其特權(quán)來越權(quán)訪問網(wǎng)民的身份信息。

（二）存儲風(fēng)險

在云計算環(huán)境下，所有數(shù)據(jù)都是處于共享的環(huán)境中，云服務(wù)提供者并沒有為用戶提供獨立的存儲區(qū)域，這樣就算數(shù)據(jù)加密也存在安全問題。和傳統(tǒng)軟件相比，云計算在數(shù)據(jù)方面的最大不同是所有的數(shù)據(jù)是由第三方來負(fù)責(zé)維護，并且由于云計算架構(gòu)的特點，這些數(shù)據(jù)可能存儲在分散的地方，并且都以明文的形式存儲［1］。雖然云防火墻可以在一定程度上保護數(shù)據(jù)免受惡意的外來攻擊，但云計算的這種架構(gòu)有可能使一些關(guān)鍵性的網(wǎng)民身份信息被泄露或者丟失，網(wǎng)民身份信息面臨著存儲方面的風(fēng)險。典型的例子有2011年的Google Gmail用戶隱私信息泄漏事件和亞馬遜大面積宕機事件。

（三）沒有統(tǒng)一適用的法律

由于云計算的全球性，網(wǎng)民身份信息常常被不同的云計算服務(wù)提供商分散存儲于不同國家的服務(wù)器。在云計算環(huán)境下，當(dāng)網(wǎng)民身份信息被非法侵犯時，不同國家和地區(qū)都用各自的相關(guān)法律來進(jìn)行調(diào)整。有些國家和地區(qū)在云計算方面的立法更加先進(jìn)、全面，但有些國家和地區(qū)卻比較落后，甚至缺失這方面的立法保護，從而使得這些法律之間很有可能不相互兼容，甚至相互抵觸，進(jìn)而使得網(wǎng)民身份信息安全也得不到很好的保障。因此，沒有統(tǒng)一適用的法律也是云計算環(huán)境下網(wǎng)民身份信息所面臨的又一大安全問題。

二、國內(nèi)外對網(wǎng)民身份信息安全的法律保障對比

個人信息包括了個人身份信息。因此，下文在就國內(nèi)外對網(wǎng)民身份信息安全的法律保障現(xiàn)狀進(jìn)行討論時以網(wǎng)絡(luò)個人信息為主。國外對個人信息的立法起步比我國相對較早。在內(nèi)容方面，國外的立法不論是在形式還是在內(nèi)容上相對于我國也較為全面。在互聯(lián)網(wǎng)出現(xiàn)后，國外在對網(wǎng)絡(luò)個人信息安全的法律保障方面取得了很多成果。因此，通過對比國內(nèi)外對網(wǎng)民身份信息安全的法律保障現(xiàn)狀，找出我國的不足，有利于完善專門針對云計算環(huán)境下網(wǎng)民身份信息安全的法律保障。

（一）國外對網(wǎng)民身份信息安全的法律保障

1.美國

美國對網(wǎng)絡(luò)個人信息的法律保障大多數(shù)是以隱私權(quán)為基礎(chǔ)，立法比較分散，現(xiàn)僅對其中比較有代表性的立法進(jìn)行闡述：

第一，《隱私權(quán)法》。該法是美國最重要的一部保護個人信息的專門立法，也是其他網(wǎng)絡(luò)個人信息保護立法的基礎(chǔ)。該法規(guī)定：公民有個人信息傳播的控制權(quán)，有權(quán)決定在何種程度上公開自己的個人信息，有權(quán)對個人信息從采集到占有、使用、處分、修正等各環(huán)節(jié)加以限制，未經(jīng)許可而公開、濫用有關(guān)個人信息的行為均構(gòu)成對公民利益的侵害［2］。另外，該法還對政府和法律執(zhí)行機關(guān)收集個人信息的方式以及公之于眾的方式作了詳細(xì)規(guī)定。

第二，《電子通訊隱私法》。該法是美國專門針對網(wǎng)絡(luò)個人信息的保護而制定的。這部法律將有線通訊、口頭對話、無線電子通訊等所有通訊形式納入法律規(guī)制范疇，除政府部門以外，禁止個人及其他任何組織進(jìn)行監(jiān)聽，政府部門如果要監(jiān)聽也必須有合理理由并獲得授權(quán)［3］。

第三，《兒童在線隱私保護法》。該法是聯(lián)邦專門針對兒童的網(wǎng)絡(luò)個人信息制定的特別法。該法規(guī)定網(wǎng)站經(jīng)營者和網(wǎng)絡(luò)服務(wù)提供者在收集13歲以下兒童的個人信息時須告知其父母，并賦予父母對從兒童處收集的個人信息加以審查的權(quán)利。還要求網(wǎng)站經(jīng)營者和網(wǎng)絡(luò)服務(wù)提供者應(yīng)該具備合理的程序來保護兒童的網(wǎng)絡(luò)個人信息的安全性和秘密性，并對網(wǎng)站經(jīng)營者和網(wǎng)絡(luò)服務(wù)提供者誘導(dǎo)未成年人填寫個人信息的行為加以禁止。

雖然美國的這種分散立法模式能夠針對不同的網(wǎng)絡(luò)個人信息提供不同的保護，但是這也可能導(dǎo)致法律適用的沖突，不利于法律的適用。鑒于此，美國在立法之外更多采用行業(yè)自律規(guī)范的方式對網(wǎng)絡(luò)個人信息提供有效的保護。

2.歐盟

歐盟對網(wǎng)絡(luò)個人信息的法律保護與美國不同，主要是通過在各個成員國之間建立統(tǒng)一的法律法規(guī)體系來實現(xiàn)，比較有代表性的有：

第一，《歐盟數(shù)據(jù)保護指令》。該法是歐盟制定的保護個人信息的基礎(chǔ)性、核心性法律，為個人信息在歐盟的保護提供了一個統(tǒng)一的標(biāo)準(zhǔn)，旨在保護個人信息處理過程中自然人的基本權(quán)利和自由，以及促進(jìn)個人信息在成員國之間的自由流通。該法規(guī)定了其適用范圍、資料使用者的義務(wù)與責(zé)任、資料主體的權(quán)利等內(nèi)容。采用最為復(fù)雜性和綜合性的方式對個人資料進(jìn)行保護，其一般宗旨和立法原則對其他國家的個人信息保護立法產(chǎn)生了相當(dāng)大的影響［4］。

第二，《隱私與電子通訊指令》修正案。該修正案的前身是《電子通訊數(shù)據(jù)保護指令》，相比較，其更加注重對個人數(shù)據(jù)保護的具體領(lǐng)域。規(guī)定其適用范圍為歐洲共同體公共通信網(wǎng)絡(luò)中公用電子通訊服務(wù)中所處理的個人數(shù)據(jù)。還規(guī)定只有在網(wǎng)絡(luò)用戶對數(shù)據(jù)處理的目的己完全知曉，并且沒有拒絕，以及同時滿足《歐盟數(shù)據(jù)保護指令》要求的情況下，才能使用儲存于電子通訊網(wǎng)絡(luò)上的信息，或者通過Cookie或“間諜軟件”獲取儲存在該用戶終端設(shè)備上的有關(guān)信息。

另外，其他法律，如：《關(guān)于在信息高速公路上收集和傳遞個人數(shù)據(jù)的保護指令》《關(guān)于與歐共體和組織的個人數(shù)據(jù)處理相關(guān)的個人保護以及關(guān)于此種數(shù)據(jù)自由流動的規(guī)章》《關(guān)于電子通信領(lǐng)域個人數(shù)據(jù)處理和隱私保護的指令》《網(wǎng)絡(luò)上個人隱私權(quán)保護的一般原則》等一系列相關(guān)法律法規(guī)，為用戶和網(wǎng)絡(luò)服務(wù)提供商提供了清晰可循的網(wǎng)絡(luò)個人信息保護原則，也促進(jìn)了成員國之間有關(guān)網(wǎng)絡(luò)個人信息的統(tǒng)一法律法規(guī)體系的建立。

3.日本

日本對網(wǎng)絡(luò)個人信息的法律保護主要通過統(tǒng)一的立法來實現(xiàn)，最具代表性的是《個人信息保護法》。該法以個人信息的有效利用與個人信息保護為宗旨，確立了個人信息保護的基本原則及方針，明確了國家及地方公共團體的責(zé)任義務(wù)，以及使用個人信息的企事業(yè)單位應(yīng)遵守的義務(wù)［5］。還對個人信息的范圍進(jìn)行了概括性界定，并采用不用列舉的方式。這樣的界定方式有利于個人信息的范圍隨著科學(xué)技術(shù)和時代的進(jìn)步而不斷進(jìn)行調(diào)整，更加有利于對網(wǎng)民個人信息的保護。

此外，《行政機構(gòu)保有電子計算機處理個人情報保護法律》《個人情報保護法案》等法律也體現(xiàn)了對網(wǎng)絡(luò)個人信息的法律保護。

（二）我國對網(wǎng)民身份信息安全的法律保障

我國對網(wǎng)絡(luò)個人信息的法律保護沒有統(tǒng)一的立法，而是散見于各部門法、行政法規(guī)和規(guī)章、地方性法規(guī)和規(guī)章中。

1.各部門法中有關(guān)網(wǎng)民身份信息的規(guī)定

《刑法》第253條規(guī)定：“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。 竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！痹摋l的內(nèi)容體現(xiàn)了對個人信息的刑法保護，也為網(wǎng)絡(luò)個人信息的犯罪處罰提供了刑法依據(jù)。但是，該條要求必須達(dá)到“情節(jié)嚴(yán)重”才能處以刑罰，因而一般的侵權(quán)行為則不能受到刑法處罰。

《侵權(quán)責(zé)任法》第 36條規(guī)定：“（1）網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。（2）網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。”該條雖然沒有直接使用“網(wǎng)民個人信息”，但是網(wǎng)絡(luò)個人信息包含了公民個人的民事權(quán)益。通過網(wǎng)絡(luò)侵害他人個人信息的行為是侵害他人民事權(quán)益的行為，受到《侵權(quán)責(zé)任法》保護。該條的規(guī)定為網(wǎng)民個人信息的一般侵權(quán)行為提供了民法上的保護。

2.行政法規(guī)、規(guī)章中有關(guān)網(wǎng)民身份信息的規(guī)定

《電信條例》第58條規(guī)定：“任何組織或者個人不得利用電信網(wǎng)從事竊取或者破壞他人信息、損害他人合法權(quán)益的活動?！?/p>

《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》第12條規(guī)定：“電子公告服務(wù)提供者應(yīng)當(dāng)對上網(wǎng)用戶的個人信息保密，未經(jīng)上網(wǎng)用戶同意不得向他人泄露，但法律另有規(guī)定的除外?！?/p>

《互聯(lián)網(wǎng)電子郵件管理辦法》第9條規(guī)定：“互聯(lián)網(wǎng)電子郵件服務(wù)提供者對用戶的個人注冊信息和互聯(lián)網(wǎng)電子郵件地址，負(fù)有保密的義務(wù)?！?/p>

這些行政法規(guī)和規(guī)章有一個共同的特點，那就是規(guī)定籠統(tǒng)，沒有規(guī)定具體的侵權(quán)責(zé)任等，缺乏可操作性，不能對網(wǎng)絡(luò)個人信息的有關(guān)安全問題提供有效的保護。

3.地方性法規(guī)、規(guī)章中有關(guān)網(wǎng)民身份信息的規(guī)定

《廣東省電子交易條例》第18條規(guī)定的認(rèn)證機構(gòu)的職責(zé)之一：“保護數(shù)字證書單位用戶的商業(yè)秘密和個人用戶的隱私等非公開信息”。

《北京市未成年人保護條例》第49條規(guī)定：“任何組織和個人未經(jīng)未成年人的監(jiān)護人同意，不得在互聯(lián)網(wǎng)上收集、使用、公布未成年人的個人信息?！?/p>

《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定》第11條之第二款、第三款規(guī)定：“任何單位和個人不得利用計算機信息系統(tǒng)從事下列行為：……（二）侵犯他人隱私，竊取他人賬號，假冒名義發(fā)送信息，或者向他人發(fā)送垃圾信息；（三）以營利或者非正常使用為目的，未經(jīng)允許向第三方公開他人電子郵箱地址。”

可以看出，現(xiàn)有的法律條文對網(wǎng)絡(luò)個人信息的保護規(guī)定大多是原則性的，缺乏體系性，很難對網(wǎng)絡(luò)個人信息進(jìn)行全面有效的保護。在云計算逐漸普及的今天，對網(wǎng)絡(luò)個人信息的侵害會更加頻繁，方式也會更加多樣。云計算環(huán)境下的網(wǎng)民身份信息安全的立法保護急需加強，可以借鑒現(xiàn)有的對網(wǎng)絡(luò)個人信息安全的立法經(jīng)驗。

（三）我國對網(wǎng)民身份信息安全法律保障的不足

通過國內(nèi)外對網(wǎng)民身份信息安全的法律保障現(xiàn)狀的對比，可以看出我國在網(wǎng)民身份信息安全的法律保障方面存在以下不足：

第一，大部分為概括性、籠統(tǒng)性規(guī)定。這就使得我國的相關(guān)法律規(guī)范缺乏可操作性，形同虛設(shè)，不能發(fā)揮法律規(guī)范應(yīng)有的規(guī)范人們行為的作用。

第二，無體系性。我國的相關(guān)法律規(guī)范散見于各種法律、行政法規(guī)和規(guī)章，以及地方性法規(guī)和規(guī)章中，沒有形成完整的體系，造成在法律規(guī)范的適用上不方便。

第三，法律位階低下。我國的相關(guān)法律規(guī)范大多散見于行政法規(guī)和規(guī)章，以及地方性法規(guī)和規(guī)章中，這兩大類法律規(guī)范的強制性都低于法律和憲法。當(dāng)侵害網(wǎng)民身份信息的行為發(fā)生時，不能對其進(jìn)行有力的懲處，不能收到防止其再犯的效果。同時，還可能導(dǎo)致法律適用上的沖突。

三、完善我國法律保障制度的建議

（一）制定統(tǒng)一的云計算技術(shù)標(biāo)準(zhǔn)

自云計算出現(xiàn)以來，國內(nèi)外就有很多組織致力于對云計算相關(guān)標(biāo)準(zhǔn)的研究和制定，但至今都沒有取得比較統(tǒng)一的成果。有鑒于此，我國應(yīng)該借鑒國外一些成熟的技術(shù)標(biāo)準(zhǔn)，制定出一套符合我國實際的統(tǒng)一的云計算技術(shù)標(biāo)準(zhǔn)，有利于解決不同云計算服務(wù)之間的互聯(lián)互通問題，保障云計算產(chǎn)業(yè)的健康發(fā)展。同時，這些技術(shù)標(biāo)準(zhǔn)必須與法律對接，如果沒有與法律上的相應(yīng)規(guī)定對接，那么，這些技術(shù)標(biāo)準(zhǔn)的作用和意義就不大。

（二）加強網(wǎng)民身份信息安全立法

我國至今還沒有一部專門針對網(wǎng)民身份信息安全的立法。2013年2月1日實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》也只是屬于國家標(biāo)準(zhǔn)的“指導(dǎo)性技術(shù)文件”，并不屬于立法，沒有法律的強制性。自2008年《個人信息保護法》草案提交國務(wù)院后，至今也沒有正式出臺。該草案規(guī)定了擁有個人信息的企業(yè)與團體應(yīng)承擔(dān)的法律責(zé)任，除犯罪、稅收記錄及媒體調(diào)查外，禁止任何團體在未經(jīng)個人同意的前提下，將個人信息泄露給第三方［6］。該法應(yīng)該對云計算環(huán)境下的個人信息進(jìn)行完善，在相應(yīng)的章節(jié)規(guī)定云計算服務(wù)提供商對所保管的網(wǎng)民身份信息的義務(wù)、違反義務(wù)應(yīng)承擔(dān)的責(zé)任，其他主體通過攻擊“云”對網(wǎng)民身份信息的侵害以及利用網(wǎng)民身份信息對公民的人生、財產(chǎn)造成的危害應(yīng)承擔(dān)的責(zé)任。

（三）完善現(xiàn)有的相關(guān)法律制度

我國現(xiàn)有的有關(guān)網(wǎng)民身份信息的法律條文主要有三個特點：原則性、無體系性和位階低。在原則性方面，我國應(yīng)該在已經(jīng)確立的各種原則性規(guī)定的指導(dǎo)下制定更多具體的更具操作性的條文；在無體系性方面，我國應(yīng)該加強現(xiàn)有相關(guān)法律條文的體系建設(shè)，完善保護網(wǎng)民身份信息安全立法的體系性既有利于法律的適用，也能夠避免法律適用上的沖突；在位階低方面，我國現(xiàn)有的相關(guān)法律條文主要存在于行政法規(guī)和地方性法規(guī)中，法律位階的低下決定了其條文的強制性不能夠有效保障網(wǎng)民的身份信息安全。應(yīng)該在《憲法》中完善對個人信息保護的規(guī)定，體現(xiàn)憲法對網(wǎng)絡(luò)個人信息的保護；將國務(wù)院及其部門、地方各級政府及其部門制定的法規(guī)、規(guī)章中比較合理的規(guī)定上升為全國人大及其常委會制定的法律。同時，還應(yīng)從云計算的現(xiàn)實環(huán)境來完善相關(guān)法律制度，使相關(guān)法律制度跟上科技和時代發(fā)展的步伐，彌補這三個特點的缺陷，從而使云計算環(huán)境下的網(wǎng)民身份信息安全得到更加全面有效的法律保護。

（四）借鑒國外的相關(guān)立法經(jīng)驗

不論是互聯(lián)網(wǎng)還是云計算在我國起步都比較晚，相關(guān)的立法研究也較國外一些發(fā)達(dá)國家晚，在云計算方面的立法也是如此。“它山之石，可以攻玉”我國在通過立法的方式對這個問題進(jìn)行規(guī)范時，應(yīng)該借鑒國外一些比較成熟的相關(guān)立法經(jīng)驗。筆者認(rèn)為，我國應(yīng)該采用類似歐盟和日本的統(tǒng)一立法模式，這樣才有利于法律的適用。在統(tǒng)一立法模式的大背景下，由于網(wǎng)民身份信息主要涉及網(wǎng)民的隱私問題，因此可以借鑒美國側(cè)重于保護隱私權(quán)的立法模式。同時，要結(jié)合我國的國情，只有這樣的立法才不僅具有先進(jìn)性，而且具有現(xiàn)實可操作性。

[1]張慧，邢培振.云計算環(huán)境下信息安全分析[J].計算機技術(shù)與發(fā)展，2011（12）.

[2]白鶴.網(wǎng)絡(luò)個人信息保護的法律問題研究[D].北京：中央民族大學(xué)，2011.

[3]張寧.電子商務(wù)中消費者個人數(shù)據(jù)的法律保護[D].河南大學(xué)，2012.

[4]齊愛民.中國信息立法研究[M].武漢大學(xué)出版社，2009：58.

[5]謝青.日本的個人信息保護法制及啟示[J].政治與法律，2006（6）.

[6]《個人信息保護法草案》已呈交國務(wù)院 [EB/OL].人民網(wǎng)，2008-09-08.